Deutschland: Deutsche EC-Kartenterminals gehackt | freelancermap Konkret - IT-Projekte für Freelancer, Selbstständige und Freiberufler

In Folge eines äußeren Angriffs via LAN-Verbindung könnten durch die Lücke sowohl einzelne Kartendaten als auch Geheimnummern kopiert werden. Mit diesen Informationen wäre wiederum die Produktion neuer EC-Karten möglich um mit damit im Ausland Geld abzuheben oder im Internet einzukaufen. Aber auch das Hacken mehrerer Terminals auf einmal ist denkbar.

Dazu muss der Kartenleser im Netzwerk-Stack mittels Pufferüberlauf angegriffen werden, um den Applikationsprozess zu übernehmen. Folglich erhält der Angreifer einen Zugang zum Terminal und kann den Applikationsprozessor, das Eingabefeld für die PIN sowie das Display kontrollieren und die PIN abfangen. Ein derartiger Angriff kann jedoch nur erfolgen, wenn Public-IPs für solche Terminals vergeben werden, was in der Regel nicht der Fall ist. Gelingt es dagegen, über Internet einen beliebigen Computer in dem Netzwerk zu hacken, dann können auch alle Kassenterminals gehackt werden.

Verfone hat die Sicherheitslücke mittlerweile bestätigt und kündigte an, ein Softwareupdate zur Behebung dieser Gefahr zu entwickeln. Besonders anfällig für lokale Angriffe sind die serielle und die JTAG-Schnittstelle des Applikationsprozessors. Vor allem bei der JTAG-Schnittstelle ist es aber nicht möglich, die Lücke durch einen Softwarepatch zu schließen, da man mit JATG unterhalb der Software operiert. Selbst wenn 300.000 Geräte über einen Patch verfügen, wäre die Lücke daher nicht zu schließen. In Deutschland waren 2010 rund 670.000 Kartenterminals in Betrieb und 97 Millionen EC-Karten im Umlauf.

Laut dem Bundesverband der deutschen Volks- und Raiffeisenbanken haften Kunden aber grundsätzlich nicht für Schäden aus einem Angriff, bei dem ihre Kartendaten ausgespäht und außerhalb des Girocard Systems auf Magnetstreifenbasis missbräuchlich verwendet wurden.

Quelle: www.golem.de
Bild: © davidevison - fotolia.com